Google ha revelado los detalles de un clúster de amenazas motivado financieramente que dijo que “se especializa” en campañas de phishing de voz (igualmente conocido como Vishing) diseñadas para violar las instancias de la fuerza de ventas de las organizaciones por robo de datos a gran escalera y posterior trastorno.
El equipo de inteligencia de amenazas del coloso tecnológico está rastreando la actividad bajo el apodo UNC6040que dijo exhibe características que se alinean con grupos de amenazas con lazos con un colectivo de delitos cibernéticos en renglón conocido como Com.
“En los últimos meses, UNC6040 ha demostrado un éxito cliché en la violación de las redes al hacer que sus operadores se esfuerzen por el personal de soporte de TI para convencer a los compromisos de ingeniería social basados en el teléfono”, dijo la compañía en un noticia compartido con The Hacker News.
Este enfoque, agregó el Orden de Inteligencia de Amenazas de Google (GTIG), ha tenido el beneficio de engañar a los empleados de palabra inglesa en las acciones de realizar acciones que brindan a los actores de amenaza aceptar o conducir al intercambio de información valiosa, como las credenciales, que luego se utilizan para allanar el robo de datos.
Un aspecto sobresaliente de las actividades de UNC6040 implica el uso de una traducción modificada del cargador de datos de Salesforce de que las víctimas son engañadas para autorizar para conectarse con el portal de Salesforce de la estructura durante el ataque de Vishing. Data Loader es una aplicación utilizada para importar, exportar y poner al día datos a copioso interiormente de la plataforma Salesforce.
Específicamente, los atacantes guían al objetivo para pasar revista la página de configuración de la aplicación conectada de Salesforce y aprueban la traducción modificada de la aplicación del cargador de datos que conlleva un nombre o marca diferente (por ejemplo, “mi portal de boletos”) de su contraparte legítima. Esta bono les otorga ataque no competente a los entornos de clientes de Salesforce y los datos de exfiltrados.
Más allá de la pérdida de datos, los ataques sirven como un trampolín para UNC6040 para moverse lateralmente a través de la red de la víctima, y luego aceptar y cosechar información desde otras plataformas como Okta, Workplace y Microsoft 365.
Los incidentes seleccionados igualmente han involucrado actividades de trastorno, pero solo “varios meses” a posteriori de que se observaron las intrusiones iniciales, lo que indica un intento de monetizar y beneficiar los datos robados presumiblemente en asociación con un actor de segunda amenaza.
“Durante estos intentos de trastorno, el actor ha reclamado afiliación con el conocido especie de piratería Shinyhunters, probablemente como un método para aumentar la presión sobre sus víctimas”, dijo Google.
La UNC6040 se superpone con los grupos vinculados a la COM proviene de la orientación de las credenciales de OKTA y el uso de la ingeniería social a través del soporte de TI, una táctica que ha sido adoptada por una araña dispersa, otro actor de amenaza de motivación financiera que forma parte del colectivo organizado suelto organizado.
La campaña de Vishing no ha pasado desapercibida por Salesforce, que, en marzo de 2025, advirtió que los actores de amenaza utilizan tácticas de ingeniería social para hacerse sobrevenir por el personal de soporte de TI por teléfono y engañan a los empleados de sus clientes para que regalen sus credenciales o aprueben la aplicación de cargador de datos modificada.
“Se les ha informado atraer a los empleados de nuestros clientes y a los trabajadores de soporte de terceros a páginas de phishing diseñadas para robar credenciales y tokens MFA o pedir a los usuarios que naveguen a la página Login.Salesforce (.) Com/Configuración/Connect para anexar una aplicación conectada maliciosa”, dijo la compañía.
“En algunos casos, hemos observado que la aplicación conectada maliciosa es una traducción modificada de la aplicación de cargador de datos publicada con un nombre y/o marca diferentes. Una vez que el actor de amenaza obtiene ataque a la cuenta de Salesforce de un cliente o agrega una aplicación conectada, usan la aplicación conectada para exfiltrar datos”.
El incremento no solo destaca la continua sofisticación de las campañas de ingeniería social, sino que igualmente muestra cómo el personal de apoyo de TI se está dirigiendo cada vez más como una forma de obtener ataque original.
“El éxito de campañas como UNC6040, aprovechando estas tácticas de Vishing refinadas, demuestra que este enfoque sigue siendo un vector de amenaza efectivo para grupos motivados financieramente que buscan violar las defensas organizacionales”, dijo Google.
“Cedido el plazo extendido entre el compromiso original y la trastorno, es posible que múltiples organizaciones de víctimas y las víctimas potencialmente posteriores puedan desavenir demandas de trastorno en las próximas semanas o meses”.
